Основные элементы локальной архитектуры СОВ( схема тетр)

1-сенсоры

2- центр распределения регистрационной информации

3-анализ регистрационной информации, выявление подозрительной активности

4-реагирование

5-администратор безопасности

6-сетевой и сенсор

7-системный сенсор

8-прикладной сенсор

9-сенсор сервиса безопасности

10-другие сенсоры

11-унификация данных, фильтрация, сохранение

12-хранилище регистрационной информации

13-выявление злоумышленной активности

14-выявление аномальной активности

15- возбуждение тревог, автоматическое реагирование, сохранение данных о подозрительной активности

16-хранилище данных о подозрительной активности

17-анализ ситуации, принятие решений, контроль за работой системы безопасности

 

Первичный сбор данных осуществляют агенты, называемые сенсорами. Регистрационная информация может извлекаться из системных и прикладных журналов, напрямую от ядра ОС, либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путём перехвата пакетов по средствам установленной в режим мониторинга сетевой карты. На уровне агентов может выполняться фильтрация данных с целью уменьшения их объёма. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы. Агенты передают информацию в центр распределения, который приводит её к единому формату, осуществляет дальнейшую фильтрацию, сохраняет в БД и направляет для анализа статистическому и экспертному компоненту. Один центр распределения может обслуживать несколько сенсоров. Содержательный активный аудит начинается со статистического и экспертного компонента. Если в процессе статистического или экспертного анализа выявляется подозрительная активность соответствующее сообщение отправляется решателю, который определяет является ли тревога оправданной и выбирает способ реагирования. Хорошее СОВ должна уметь внятно объяснить почему она подняла тревогу, насколько серьёзна ситуация и каковы рекомендуемые способы действия.

Глобальная архитектура СОВ (схема тетр)

Подразумевает организацию одноранговых и разноранговых связей между локальными СОВ

1- системы анализа более высоких уровней

2- комплексный анализ в рамках сегмента сети 1

3- комплексный анализ в рамках сегмента сети 2

4- анализ сетевой активности

5- анализ системной активности

6- анализ активности приложений

7- анализ активности сервисов безопасности

Лекция 08.12.12

 

Системы обнаружения вторжений (СОВ)

Используется на ПК подключённых к Internet

Требования:( приведены в след документах):

1- информационное письмо ФСТЭК РФ №240 от марта 2012г «об утверждении требований системам обнаружения вторжений»

2- «Требования к системам обнаружения вторжений». Утверждены приказом ФСТЭК РФ от 06.12.11г. №638

 

Требования к СОВ применяется к программно-техническим средствам, используемых в целя обеспечения защиты(некриптографическим методом) к инф содержащую сведения ГТ и иной информации с ограниченным доступом.

Установлено 6 классов защит СОВ. Самый низкий – 6-ой класс, самый высокий 1-ый. СОВ соотв 6-му классу защиты применяется в ИСПДН 3,4-ого класса. СОВ соотв 5-ому классу – ИСПДН 2-ого класса. СОВ соотв 4-му классу применяется в гос инф системах, в кот обрабатывается информация ограниченного доступа, не содержащая сведения, составл ГТ¸ в ИСПДН 1-ого класса, а так же в ИС общего пользования 2-ого класса. СОВ, соотв 3,2,1-ому классу прим в ИС, в которых обрабатывается информация, составляющая ГТ

(Уровни защиты, новая классификация с ноября 2012г) по ФСТЭК- доп вопрос на экз.

Системы обнаружения вторжений(IDS –intragent detection system) – один из важнейших компонентов любого предприятия. СОВ называет множество программных и аппаратных средств, объединяемых одним общим свойством: занимаются анализом использования веленым им ресурсов и в случае обнаружения каких либо подозрительных или просто нетипичных событий способны предпринимать действия по обнаружению, идентификации и устранению их причин.